트로이 목마
Template:컴퓨터 해킹 트로이 목마(Trojan horse)는 악성 루틴이 숨어 있는 프로그램으로, 겉보기에는 정상적인 프로그램으로 보이지만 실행하면 악성 코드를 실행한다. 이 이름은 트로이 목마 이야기에서 따온 것으로, 겉보기에는 평범한 목마 안에 사람이 숨어 있었다는 것에 비유한 것이다.
트로이 목마는 보통 사회공학 기법의 형태로 퍼진다. 비록 어떠한 것도 포함될 수 있지만, 많은 현대의 트로이 목마들은 백도어로서 사용된다.[1] 이것들은 쉽게 발견되기 힘들지만, 무거워진 CPU와 네트워크 사용으로 느려지는 현상은 나타날 수 있다.
컴퓨터 바이러스나 웜과는 달리, 트로이 목마는 보통 다른 파일에 삽입되거나 스스로 전파되지 않는다.
개요
{{{+1 Trojan horse}}}
정상적인 프로그램으로 위장한 악성코드의 한 종류. 이름의 유래는 트로이 전쟁의 트로이 목마이며, 트로이의 목마가 뭔지 아는 사람들이라면 바로 느낌이 올 것이라 본다. 악성코드 유형별 비율에서 트로이 목마가 차지하는 비율은 35%가 넘으며, 이는 그래프에서 보이지도 않는 바이러스나 웜에 비해 매우 높은 비율이다.[[1]]
역사
최초의 트로이목마는 1951년 UNIVAC이라는 영업용으로 출시된 최초의 컴퓨터에서 실행되는 ANIMAL이라는 게임으로, 트로이목마 악성코드의 목적처럼 특정 악위적인 행동이나 피해를 주는 작동을 하진 않지만, 게임 자체가 트로이목마 형태의 구동방식으로 최초의 트로이목마로 정의되고 있다.
행동적 특징
||
피해
트로이 목마의 피해는 단순 개인정보 유출, 운영체제 파괴, 속도 느려짐, 시스템 파일 삭제, 부팅 오류 뿐만 아니라 컴퓨터 하드웨어 자체를 먹통으로 만들어 아예 못 쓸 정도로 손상을 시키기도 한다. 포멧을 해도 복구가 불가능할 정도로 성능이 악화되며 이런 경우에는 컴퓨터 수명 자체가 거의 요절이 난다. 그만큼 일단 컴퓨터에 들어오기만 하면 피해가 걷잡을수 없이 커지게 된다. 컴퓨터 바이러스 같은 경우 대부분 포맷을 하면 컴퓨터 성능 자체에는 큰 문제가 없으나 트로이 목마는 일단 걸리면 컴퓨터 성능은 포기해야 된다.
일부 트로이 목마의 경우, 트로이 목마 본체를 삭제하면 본체 속에 프로그램 중요 작동소스를 집어넣어서 해당 프로그램을 먹통으로 만들어 버리는 경우도 있다. 그러나 자기 집과 동반자살 하는 경우는 귀여운 편이고, 어떤 건 삭제할려고 시도할 경우 컴퓨터를 무한부팅 시켜 버리거나, 커널을 파괴하여 동반자살을 하는 경우도 있고 시스템 자체를 다운시켜버리는 경우도 있으니 주의해야 한다.
바이러스와의 차이점
컴퓨터 바이러스와 다른 점이 있다면, 다행히도 바이러스와 달리 살아있는거 마냥 다른기기를 전부 전염시키고, 자가복제를 하거나 다른 정상적인 파일에 자기 자신을 덮어 씌우거나 하지 않고, 해당하는 트로이 목마 프로그램 하나만 삭제--를 성공하기만--하면 더 이상의 피해는 없다.
기타
가끔 퍼블리셔에서 지원하지 않는 방법으로 DRM을 제거한, 소위 크랙이 된 소프트웨어를 사용할 때 보안 프로그램에서 트로이 목마 바이러스가 발견되었다고 뜨는 경우가 있다. 치료하면 그 프로그램이 실행이 안 되고, 보안 프로그램을 꺼두면 프로그램이 실행된다. 컴퓨터 문제가 발생할 수도 있으니 주의하자.
트로이 목마가 많이 퍼졌을 경우 일일이 백신 돌려서 지우기보다는 mzk를 쓰자.
부팅이 느려지거나 부팅시 이상한 프로그램이 시작되는 등 시스템 파일이 감염된 것 같다면 제어판의 시스템 복원을 사용해 감염 전 날짜로 복원하자.
알약에서 트로이 목마를 찾을 수 있다. 실제로 알약에서 악성코드 발견으로 치료할 수 있다.
목적과 사용
만약 설치되었거나 상승된 권한으로 실행 중이라면, 트로이 목마는 일반적으로 제한 없는 접근을 할 수 있다. 이 능력을 가지고 무엇을 할 것인지는 공격자에게 달려 있다.
파괴적 목적
자원이나 신분의 사용
- 기계를 봇넷으로서 사용 (예를 들면 분산 서비스 거부 공격)
- 암호화폐 마이닝을 위한 자원 사용[3]
- 다른 컴퓨터를 공격하거나 불법적인 행동을 하기 위해서 감염된 컴퓨터를 프록시로 사용
- 네트워크에 연결된 다른 디바이스 감염
금전 절도, 랜섬웨어
데이터 절도
- 기밀정보 (도면, 군사정보, 사회기반시설 정보 등)
- 사용자의 비밀번호나 체크카드 정보
- 개인정보, 개인신용정보
- 영상정보 (CCTV, IP카메라 등)
스파잉, 감시 또는 스토킹
- 키로깅
- 사용자의 웹캠 보기
- 사용자의 컴퓨터 원격 관리: 원격 방식의 트로이 목마는 자신의 목적을 수행하기 위해 악성 컨트롤러와의 상호 작용을 필요로 할 수도 있다. 네트워크를 스캔해서 트로이 목마가 설치된 위치를 찾고, 해커가 제어할 수 있게 되는 경우도 가능하다.
이 방식의 트로이 목마는 자신의 목적을 수행하기 위해 악성 컨트롤러와의 상호 작용을 필요로 할 수도 있다. 네트워크를 스캔해서 트로이 목마가 설치된 위치를 찾고, 해커가 제어할 수 있게 되는 경우도 가능하다.
몇몇 트로이 목마는 오래된 버전의 인터넷 익스플로러와 크롬의 보안 결함을 악용하여 컴퓨터를 프록시 서버로 사용함으로써 이것을 통해 불법을 저지르는 경우도 있다.[4]
독일계 국가에서는, 정부에 의해 만들어지고 사용되는 스파이웨어를 Govware라고 부른다. 이것은 주로 타겟 컴퓨터에서의 통신을 가로채는데 사용되었다. 스위스와 독일 같은 몇몇 나라들은 이러한 소프트웨어를 이용한 합법적인 프레임워크를 갖는다.[5][6]
봇넷의 인기와 광고 서비스의 사용으로 인해 트로이 목마는 점점 인기를 얻어가고 있다. 비트디펜더에 의해 2009년 1월부터 6월까지 조사된 바로는 83%의 악성코드가 트로이목마와 유사한 형태였다.[7] 트로이 목마는 웜과 관련되어 있는데, 이것은 웜과 함께 인터넷을 가로질러 이동할 수 있기 때문이다. 비트디펜더는 15%의 컴퓨터가 봇넷의 멤버이며, 주로 트로이 감염에 의한 것이라고 언급했다.[8]
대표적인 트로이 목마
- 넷버스 (Netbus) - 12345번 포트 사용. 가장 사용하기 쉽고 퍼지기 쉬운 트로이 중의 하나.
- 백오리피스 (Back Orifice) - 31337번 포트 사용. 가장 유명하여 제거 툴이 가장 많은 트로이.
- 스쿨버스 (Schoolbus) - 54321번 포트 사용.
- Executor - 80번 포트 사용. 감염된 컴퓨터의 시스템 파일을 삭제/시스템을 파괴하는 트로이 중의 하나.
- Silencer - 1001번 포트 사용. 제거 툴은 나와 있지 않음.
- Striker - 2565번 포트 사용. 감염된 컴퓨터를 무조건 고물로 만들어 버림. 이는 시스템 드라이브 등 하드디스크를 모두 파괴하여 아예 부팅이 안 되게 하는 트로이이기 때문.
관련 문서
* 컴퓨터 바이러스 * 악성코드 * 스파이웨어 * 랜섬웨어 * 웜 * 안티 바이러스
각주
- ↑ Template:웹 인용
- ↑ Template:웹 인용
- ↑ Robert McMillan (2013): Trojan Turns Your PC Into Bitcoin Mining Slave, Retrieved on 2015-02-01
- ↑ Template:뉴스 인용
- ↑ Basil Cupa, Trojan Horse Resurrected: On the Legality of the Use of Government Spyware (Govware), LISS 2013, pp. 419-428
- ↑ Template:웹 인용
- ↑ BitDefender.com Template:웨이백 Malware and Spam Survey
- ↑ Template:웹 인용
외부 링크
- dmoz|Computers/Security/Malicious_Software/Trojan_Horses|트로이 목마
Template:악성 소프트웨어 Template:전거 통제
분류:스파이웨어 분류:사이버 전쟁 분류:사회공학 (보안) 분류:웹 취약점 공격 분류:악성 코드 분류:악성코드